<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /></head><body style='font-size: 10pt; font-family: Verdana,Geneva,sans-serif'>
<p>Hi All, a few comments on the current draft of the HEART Profile for OAuth 2.0:</p>
<p>- Section 2.1.3.1: there is a reference to Section 2.1.4 for keys; should this reference 2.1.5 instead?</p>
<p>- Section 2.1.3.2: The section states that native apps may use a common client_id + PKCE. Lock-out mechanisms (temporary or permanent) at an AS triggered by repeated failed client authentication attempts may be based on client_id. It seems like the use of a common client_id opens up the possibility of one compromised or misconfigured native app instance locking out all instances of that app at a particular AS. I agree that adding PKCE support is a good idea, but I think per instance client_id should be required whether or not PKCE is used, and that the option to use a common client_id be removed.</p>
<p>- Section 2.1.4: The section states that native apps MUST receive a unique per instance client_id. This conflicts with the choice to use a common client_id + PKCE currently permitted in 2.1.3.2.</p>
<p>- Section 4.2: Typo "acceept"<br /><br /></p>
<p>Luis</p>
<p>Luis C. Maas III, M.D., Ph.D.</p>
<div>
<p><span style="font-family: verdana, geneva, sans-serif;">CTO<br />EMR Direct<br />www.emrdirect.com<br /><br /></span></p>
</div>
</body></html>